VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik

Allgemeine Einleitung

Das folgende Tutorial lehnt sich sehr eng an das bereits bei Administrator.de bestehende Tutorial zum Einrichten einer Monowall/pFsense Firewall:
http://www.administrator.de/index.php?con ...
oder auch das Tutorial zum Captive Portals bzw. Hotspots mit dieser Firewall an.
http://www.administrator.de/index.php?con ...

Diese HW ist ebenfalls Basis der VPN Tutorials VPN_Zugang_mit_PPTP oder den VPN_Zugang_mit_IPsec.

Diese Anleitung zur Einrichtung von VLAN Support ist nicht fest auf auf die Monowall oder pfSense Firewall bezogen, sondern kann ebenfalls problemlos für eine reine Firewall Integration oder allgemeine Routing Integration in eine bestehende VLAN Umgebung verwendet werden. Auch ohne die Aktivierung einer Hotspot Funktion, die auf der M0n0wall bzw. pfSense Software ebenfalls optional ist.
Zwei weitere Punkte befassen sich mit Einrichtung von VLANs bzw. VLAN Routing auf einem Router mit der populären DD-WRT Firmware wie dem WRT54GL oder Buffalo WZR HP-G300NH usw. und auf dem sehr preiswerten Mikrotik Router !
Alles in allem also eine Universalanleitung um eine Kommunikation auf VLANs bzw. VLAN Switches zu ermöglichen wenn diese LAN Switches keine Layer 3 (Routing) Fähigkeit besitzen !
Niemals darf man VLAN mit VPN verwechseln ! VLAN Technik bietet keine Verschlüsselung. Sie sorgt lediglich dafür das sich 2 Subnetze innerhalb eines VLAN Switches nicht "sehen".

Es wird vorausgesetzt das ein wenig Basiswissen zum Thema VLANs und VLAN-Tagging nach 802.1q Standard und VLANs im Allgemeinen vorhanden ist !
Als Basis Lektüre zum weiteren Verständnis und speziell zu diesem Thema sind folgende Informationen sinnvoll:

http://de.wikipedia.org/wiki/Virtual_Loca ...
und
http://www.heise.de/netze/VLAN-Virtuelles ...
bzw.
http://www.administrator.de/VLAN_Routing_ ...

Das Tutorial geht nicht im Detail auf die Installation von M0n0wall bzw. pFsense und seine Router- bzw. Firewall und VPN Funktionen ein. Auch nicht auf das Flashen von DD-WRT Firmware auf den dafür passenden Routerplattformen.
Die einfache Installationsprozedur für alle diese Anwendungen kann detailiert für beide Lösungen hier nachgelesen werden bzw. beschreibt das o.a. Administrator.de Tutorial:

http://m0n0.ch/wall/installation.php
http://doc.pfsense.org/index.php/Tutorial ...
bzw.
http://doc.m0n0.ch/handbook/
und analog im Captive Portal / Hotspot Tutorial hier bei administrator.de:
http://www.administrator.de/WLAN_oder_LAN ...
Infos zu DD-WRT findet man detailiert auf deren Webseite bzw. Wiki und in Teilen hier:
http://www.administrator.de/index.php?con ...
Die mit ca. 30 €uro preiswerteste Möglichkeit zwischen VLANs zu routen und Firewalling zu nutzen bietet ein Mikrotik Router RB 750 oder RB 750G (Gigabit) wie hier im Forum vorgestellt:
http://www.administrator.de/index.php?con ...
oder als Teilbeschreibung zum Routing zwischen 2 Netzen:
http://www.administrator.de/index.php?con ...

VLAN Netzdesign und Switches

VLAN fähige Switches sind heute mitlerweile gang und gäbe und das auch im billigen Consumer Bereich. Alle Hersteller im Consumerbereich haben sich auf den Produktnamen Websmart Switches geeinigt, welche sich über ein einfaches Webinterface konfigurieren lassen.
Populäre Vertreter sind:
NetGear_GS108Tv2
D-Link_DGS-1210-16 bzw. die baugleiche 24 und 48 Port Variante
Trendnet_TEG-160WS
Cisco_SLM2024
Cisco_SG-200 (Sogar mit 8 Port Model und PoE)
Alle anderen Consumer Marken wie Allnet, Longshine & Co. sind ebenfalls mit entsprechenden Modellen vertreten.
Es wird vorausgesetzt das ein VLAN Switch vorhanden ist der die entsprechenden VLANs eingerichtet hat (IDs 10, 20 30 usw.) und ein Port der sog. Uplink oder "Trunk" Port ist wo alle VLANs tagges, also mit einem VLAN Tag, übertragen werden. In den beiden Switch Beispielkonfigurationen von Cisco und HP unten ist dies immer der Port 1 !
Generell kann die VLAN Zuordnung zu jedem vorhandenen Hardware Interface der M0n0wall bzw. pFSense gemacht werden.
Als Beispiel für dieses Tutorial dient hier das VLAN Trunking auf dem Standard LAN Interface vr0.


Analog kann dies natürlich auch logischerweise auf dem WAN Interface vr1 oder dem dritten physischen "OPT" Interface vr2 (sofern vorhanden) passieren, sollte man z.B. mehrere unabhängige Gast VLANs, Firmen VLANs oder generell mehrere unabhängige IP Segmente (Netze) einrichten wollen.
Auch eine VLAN Struktur an BEIDEN Interface WAN und LAN parallel ist machbar, wenn auch weniger sinnvoll.

Wichtig ist hierfür immer das sog. Parent Interface (Basis Interface) an der pFsense/M0n0wall, zu dem die VLANs bzw. deren ID Taggings korrespondieren.
Will man also wie hier im Beispiel das LAN Interface (vr0) als sog. "Parent" Interface für die VLANs verwenden, dann wird das Default VLAN 1 hier untagged übertragen und alle weiteren VLANs auf diesem Interface mit einem 802.1q Tag versehen, denn entsprechende VLAN fähige Switches dann wieder verstehen.
Wenn Router/Firewall und VLAN-Switch auf dem Tisch liegen kanns losgehen...

VLAN Setup auf dem Netzwerk Switch

Zum erfolgreichen Anschluss der VLAN Router Konfiguration an eine bestehende Switch Infrastruktur mit VLAN Nutzung gehört natürlich zuallererst auch die Betrachtung der Switch Konfiguration bzw. der Anschluss des so eingerichteten Router Ports an einen VLAN fähigen Switch über einen Tagged Uplink !
Es gibt eine Vielzahl solcher Switches am Markt, da die Netz Segmentierung mit VLANs heutzutage auch in kleineren Netzen mittlerweile zum Standard gehört.
Die Einrichtung wird deshalb hier beispielhaft an zwei VLAN fähigen Switches wie dem Cisco Catalyst 29xx und einem HP ProCurve Switch beschrieben und zusätzlich an 2 sog. "Web Smart" Switches von D-Link und Trendnet.
Bei anderen VLAN oder Web Smart Switch Herstellern im Consumer Bereich ist das Verfahren analog ! Ggf. sogar per simplen Mausklick über das Web Management des Switches zu machen wie bei Linksys, D-Link oder NetGear u.a.

Die beschriebenen Switches haben im Beispieldesign folgende Portzuordnung:

Switch Port 1: Uplink Anschluss der o.a. konfigurierten pFsense/M0n0wall, Tagged Links für alle VLANs 10 bis 40 und VLAN 1 (Default VLAN)
Switch Port 10-11: Endgeräte (untagged) VLAN 10
Switch Port 12-13: Endgeräte (untagged) VLAN 20
Switch Port 14-15: Endgeräte (untagged) VLAN 30
Switch Port 16-17: Endgeräte (untagged) VLAN 40

Beispiel Konfiguration Cisco IOS Switch

Beispiel Konfiguration HP Switch
Weitere Details zum Thema VLANs und deren Konfiguration speziell auf Cisco und HP Switches findet man auch HIER im hiesigen Forum.

Beispiel Konfiguration Cisco SOHO Switch 200er Serie
Den Reigen der Beispielkonfigurationen für die zahllosen SOHO Web Smart Switches eröffnet ein Cisco aus der 200er Serie.
Die Konfiguration ist in der Grundstruktur immer gleich wie die folgenden Screenshots aus einer Auswahl verbreiteter Web Smart VLAN Switches zeigen.
Sie besteht immer aus den zwei Schritten: VLAN einrichten, Switchports den VLANs tagged (mit VLAN ID) oder untagged zuordnen:
Der Port G8 ist hier der tagged Port der mit dem o.a. beschriebenen Router/Firewall verbunden ist.

Beispiel Konfiguration Web Smart Switch Trendnet TEG-160WS
Der Trendnet TEG-160WS ist ein Web Smart Switch der rein über ein Web Interface konfiguriert wird:
(Uplink Port zur VLAN Firewall Router ist hier Port 16 !)

Verbindet man nun den Uplink Port (Port 1) des Switches (Port 16 beim o.a. Trendnet Beispiel) mit dem VLAN Port der Firewall (LAN Port) steht einem ersten Test nichts mehr im Wege !

Ein Ping zwischen Endgeräten in den unterschiedlichen VLANs sollte nun problemlos möglich sein sofern die Firewall Regeln entsprechend stimmen !
Über diese Regel ist hinterher, sofern gewünscht, eine Einschränkung der Kommunikation sehr leicht möglich um z.B. Gast VLANs mit eingeschränkten Zugriffsrechten zu betreiben und andere VLANs vor unberechtigtem Zugriff zu schützen.

Beispiel Konfiguration Web Smart Switch D-Link DGS-1210
Auch hier ist die VLAN Einrichtung über das WebGUI wieder identisch:

VLAN Routing mit M0n0wall / pfSense

In der Web Konfigurationsseite klickt man auf Interfaces assign um die VLANs dem Port zuzuweisen. Dann wählt man oben den Karteireiter VLANs.
Mit einem Klick auf das + gelangt man ins VLAN Menü und wählt hier das Parent Interface also das Interface über das die VLANs laufen sollen (Hier im Beispiel das "vr0" das LAN Interface).
Unter VLAN Tag trägt man seine VLAN ID ein z.B. 10 für das VLAN 10. Unter Description fügt man eine Beschreibung des VLANs ein. Diese ist lediglich kosmetisch, erleichtert aber das Arbeiten beim Mangement nacher, da man das VLAN und dessen Funktion so leichter identifizieren kann.


Nach dem Einrichten muss die Firewall einmal rebootet werden um die VLANs zu aktivieren ! (Es erscheint auch ein entsprechender Hinweis im Konfig Menü !)

Nach dem Reboot wechselt man wieder ins Menü Interfaces assign und klickt wieder auf das + Symbol rechts unten um die VLAN Interfaces der Konfig hinzuzufügen und die Konfig mit Save zu sichern. Daraufhin erscheinen die VLAN Interfaces nun auch in der Interface Auswahl am linken Menürand.


Im nächsten Schritt muss man diesen VLANs natürlich nun noch IP Adressen zuweisen !
Das geschieht mit dem Klick auf das VLAN Interface links im Menüpunkt Interfaces:


Man aktiviert dieses Interface indem man oben den Haken bei "Enable Optional Interface" setzt und konfiguriert unten dann die IP Adresse !
(Hier das Beispiel 192.168.10.1 für das VLAN 10 !)
Achtung: Der Aktivierungshaken ist wichtig, sonst ist das Interface inaktiv und forwardet keine Ethernet Pakete !!
Es ist sehr sinnvoll in Die vorgegebene Beschreibung von OPT in z.B. VLAN-10 durch Überschreiben zu ändern um ein späteres Identifizieren der VLAN Interfaces zu erleichtern.
Den Eintrag "Bridge with" belässt man auf none !

Ein weiterer wichtiger Punkt ist die Einrichtung eines DHCP Servers auf diesem VLAN Segment bzw. Interface. Die M0n0wall und pFSense bieten dieses Feature für jedes einzelne Interface und somit auch für jedes einzelne VLAN was man einrichtet !
!! Achtung !!: Es sei dringenst angeraten unbedingt VORHER abzuklären ob in diesem Segment bzw. IP Netz am VLAN Interface ggf. schon ein DHCP Server (Server, anderer Router, Accesspoint usw.) vorhanden ist BEVOR man diesen auf der M0n0wall aktiviert und mit dem VLAN Netz verbindet !!!
Andernfalls besteht die Gefahr der IP Adress Dopplung und damit eines Adress- und Routing Chaoses durch konkurierende, mehrfache DHCP Server in einem IP Netz !
Das gilt es unbedingt zu verhindern.

Eingestellt und aktiviert wird der DHCP Server im Menüpunkt "DHCP Server" für das entsprechende Interface !


Ein weiterer wichtiger Punkt betrifft die Firewall Funktionalität.
Es sei nochmals darauf hingewiesen das die M0n0wall bzw. pFsense eine Firewall ist und kein nackter Router.
Setzt man also die VLANs auf ein freies Interface (LAN) oder ein anderes Interface sind per default erstmal alle Verbindungen geblockt !!!
Man muss also über die Accesslisten bzw. den Menüpunkt Firewall Rules erst sein IP Netz, Adressen, Ports oder eine Kombination aus diesen für die Kommunikation freigeben !!!
Darin besteht ja auch der tiefere Sinn einer Firewall !!!

Um aufkommenden Frust erst einmal kleinzuhalten kann man eine einfache "Scheunentor" Regel aufsetzten, die erstmal alles erlaubt.
Das erreicht man unter Firewall -> Rules für das entsprechende Interface !

Eine Regel die für das VLAN 30 als Beispiel die eine Kommunikation überallhin komplett öffnet sieht so aus:


Ggf. muss diese Regel später korrigiert werden wenn nicht jeder mit jedem kommunizieren soll oder nur bestimmte Anwendungen (Mail, RDP) usw. erlaubt sein sollen für diese VLAN Segmente !

Die M0n0wall bzw. pFsense VLAN Grundkonfiguration ist mit diesem Schritt soweit erst einmal beendet und funktionsbereit.
Im nächsten Schritt ist der VLAN Switch dran !

VLAN Routing mit Mikrotik 750(G)

VLAN Routing ist auch recht einfach mit einem kleinen und leistungsfähigen 5 Port Router der MikroTik 750er Reihe möglich. Der Router ist hier bei Administrator.de beschrieben und ist mit ca. 30 Euro (100Mbit Version) sehr preiswert und bietet eine Fülle von Features. Die Gigabit fähige 750G_Variante ist mit ca. 50 Euro nur geringfügig teurer.
Der Mikrotik Router ist sehr einfach über sein Web Interface oder das mitgelieferte WinBox Tool konfigurierbar.
Ein Standard Routing zwischen 2 IP Segmenten beschreibt ein separates Tutorial bei Administrator.de.
Die VLAN Routing Konfiguration baut darauf auf und ist ebenso mit ein paar Mausklicks über das intuitive Konfigurationstool "Winbox" zu erledigen.
Der Mikrotik hat ab Werk eine Standard DSL Router Konfiguration die NAT auf Port 1 macht und die Ports 2 bis 4 auf einem Switch zusammenfasst. Diese Konfiguration können wir für unser Vorhaben nicht brauchen und sie muss vorher mit dem Kommando system reset-configuration skip-backup=yes no-default=yes im CLI oder WebGUI gelöscht werden.
Nach einem Reboot geht die Konfig dann sehr schnell indem man mit dem WinBox Tool die VLANs erzeugt und ihnen IP Interface Adressen zuweist:


Die Switchkonfiguration ist analog zu oben.
Zusätzlich kann wie bei Monowall und pfSense auch ein DHCP für alle oder einige VLANs eingerichtet werden:


Der MikroTik ermöglich ein schnelles und auch preiswertes Routing in einer kleinen Box und ist im Preis- Leistungs Verhältnis unschlagbar, da er noch eine Fülle von Zusatzfunktionen bietet (Dynamisches Routing, VPN Server und Client, Firewalling, Hotspot usw.)
Die Firewall Filter sind allerdings nicht so einfach und leicht zu implementieren wie bei Monowall und pfSense über das Websetup und erfordern etwas mehr Einarbeitung, ist aber mächtiger in den Funktionen. Mann muss hier also selbst entscheiden.

VLAN Routing mit DD-WRT Router

Ein einfaches, schnelles und unkompliziertes VLAN Routing lässt sich mit einem Router auf Basis der sehr populären DD-WRT Firmware machen.
Die folgende Abbildung zeigt das Prinzip Diagramm eines solchen Designs: (VLAN Anzahl ist auf 2 wegen der besseren Übersichtlichkeit reduziert !)

Als Trunk Port der alle VLANs vom Switch zum Router transportiert wurde am Router hier im Beispiel der Port-1 am integrierten 4 Port Switch ausgewählt !
Die VLAN Einrichtung und die Zuweisung der Router IP Adressen pro VLAN ist mit ein paar Mausklicks im Router schnell erledigt:

Man startet dafür im Menüpunkt "Setup --> VLANs" wie die folgende Abbildung zeigt:

Hier erkennt man das der Port-1 tagged konfiguriert ist für die VLANs 3 und 10. Hier wird auch der Trunk Uplink vom Switch angeschlossen !
Gleichzeitig sieht man hier im Setup auch die Einschränkung die die DD-WRT Firmware hat: Es sind nur maximal 15 VLANs erlaubt. Meist reicht das aber bei kleinen und mittleren Netzen problemlos aus, da dort nie mehr VLANs in Summe zum Einsatz kommen.
Sind die VLANs entsprechend so eingerichtet, klickt man unten auf "Apply" um die Konfiguration zuladen und dann auf "Save" um sie zu sichern !

Weiter geht es dann mit der Einrichtung der Router IP Interfaces pro VLAN im Menüpunkt "Setup --> Networking" was du untenstehende Abbildung zeigt:

Die Konfiguration ist fast selbsterklärend. Man kann die zur VLAN ID korrespondierenden IP Interfaces sehen die hier einfach für die beiden IP Netze 172.16.3.0 /24 in VLAN-3 und 172.16.10.0 /24 in VLAN-10 konfiguriert sind wobei die Router IP immer die .1 im jeweiligen VLAN IP Netz ist.
Auch hier wieder auf "Apply" um die Konfiguration zuladen und dann auf "Save" um sie zu sichern nicht vergessen !

Bequemerweise bietet DD-WRT auch noch gleich separate DHCP Server für diese VLAN Netze an ! Wer also keine eigenen DHCP Server in diesen VLANs betreibt, kann dann bequemerweise DD-WRT mit der Verteilung von IP Adressen in diesen VLANs beauftragen !
Im gleichen Menü "Setup --> Networking" erfolgen die dafür erforderlichen Einstellungen:

Ab der Start IP Adresse .100 werden so in jedem VLAN dann max. 50 IP Adressen bis zur .149 durch den Router vergeben ! Wer mehr braucht, passt das entsprechend an.
Fertig ist man mit dem VLAN Routing mit DD-WRT basierender Hardware !!
Der folgende Screenshot zeigt den Ping eines Apple Mac Rechners der sich am Switch im VLAN-3 befindet mit der per DHCP vom Router vergebenen IP Adresse 172.16.3.130. Dieser Mac (kann natürlich auch ein PC sein...) pingt erfolgreich das Router IP Interface im VLAN-10.

Sollen auch alle weiteren VLANs über den DD-WRT direkt ins Internet ohne einen weiteren Router im externen Netz, dann muss für diese VLAN IPs auch nch das Masquerading aktiviert werden unter Service -> "Local DNS" und "DNSmasq".
Hier dann im Feld "Additional DNSMasq Option" zusätzlich zu den bestehende Einträgen alle VLANs für die es relevant sein soll eintragen:
interface=vlan3
interface=vlan10
Je VLAN in dem auch NAT gemacht werden soll, eine Zeile!

Eine einfache, schnelle und preiswerte Möglichkeit eine Kommunikation zwischen VLANs zu realisieren wenn man auf weiteren Schnickschnack verzichten kann ! Ein zusätzlicher Thread hier beleuchtet noch einige weitere Details in der Praxis
Auf Goodies wie ein Captive Portal im Gästenetz muss man bei DD-WRT aber verzichten, da DD-WRT diese Option nicht bietet.

VLAN Routing mit Cisco RV110W

Wem das Flashen einer alternativen Firmware zu gefährlich ist findet aber auch kleine und preiswerte VLAN fähige Router "von der Stange". Ein Vertreter dieser Gattung ist der Cisco RV110W der zudem ein .11n fähigen WLAN Accesspoint integriert hat mit dem sich separate und sichere Gastnetze realsisieren lassen (Siehe "Praxisbeispiel" unten)
Die Konfigurationsschritte gleichen sich sehr stark denen der obigen Beispiele. Auch hier wieder die klassische Prozedur:
1.) VLANs und dazugehörige Ports einrichten (Tagged).
2.) IP Adressen und ggf. DHCP diesen VLANs zu ordnen:
Hier die IP Adressierung und ggf. DHCP Server:
Als Beispiel ist hier der Port 4 der tagged Uplink Port auf den VLAN Switch !

Ein Anwendungsbeispiel aus der Praxis

Die Anwendungsbeispiele von VLANs in Netzwerken sind zahllos !
Jeder verantwortungsbewusste Netzwerk Admin segmentiert heutzutage sein Netzwerk in der einen oder anderen Art mit VLANs um Performance- und Sicherheits Standards hoch zu halten und damit eine optimierte LAN Infrastruktur zu betreiben.

Als klassisches Beispiel sei hier einmal eine sehr typische Anwendung in einem Firmennetzwerk angeführt und zwar die sichere Installation einer Firmen WLAN Infrastruktur mit einem offenen Gäste- und Besucher WLAN und Hotspot, einem verschlüsselten Firmen WLAN und einem unsichtbaren, verschlüsselten WLAN für den Netzwerkadmin zum bequemen, drahtlosen Administrieren seiner Netzwerkkomponenten und Server auf dem Firmen Campus.
All dies geschieht über VLAN fähige Accesspoints mit ESSIDs.
Dies sind heutige, aktuelle WLAN Accesspoints die mit einem physischen Accesspoint mehrere SSIDs (WLANs) gleichzeitig aufspannen können und diese WLANs bzw. ihre SSIDs (WLAN Kennungen) dann entsprechend VLAN Nummern (ID) zuordnen können.
Z.B. Traffic aus dem WLAN mit der SSID "Firma-intern" geht ins VLAN 20 und Traffic aus dem WLAN mit der SSID "Besuchernetz" geht ins VLAN 40 usw.
Ein klassischer Vertreter dieser Art ist z.B. der Linksys WAP-200 wie er HIER in einem Bericht bei Administrator.de getestet wurde.
Auch im preiswerten Consumer Segment supporten mehr und mehr WLAN Accesspoints multiple ESSIDs mit einem VLAN Mapping wie z.B. der Cisco RV110W ( http://www.cisco.com/en/US/products/ps117 ... ) erhältlich z.B. hier
Der Cisco RV-110W eigenet sich besonders für die Anwendung, da er einen integrierten VLAN Router beinhaltet der wie oben beschrieben auch zwischen den VLANs bei Bedarf (konfigurierbar) routen kann ! Mit den zusätzlichen ESSIDs schlägt man hier also gleich 2 Fliegen mit einer Klappe.
Oder der Edimax EW-7416: ( http://www.edimax-de.eu/de/produce_detail ... )
den man z.B. hier oder im lokalen Handel preisgünstig erwerben kann.
Ein weiterer Vertreter dieser Zunft ist der Draytek_AP-800 der ebenfalls eine ESSID zu VLAN Zuordnung supportet und so für solche Designs geeignet ist.
Accesspoint Modelle aller bekannter Hersteller wie Lancom, Linksys (siehe oben), Draytek, Buffalo, Edimax, Trendnet, TP-Link u.a. supporten dieses VLAN zu SSID Feature bei diversen Modellen in ihrem Portfolio ebenso.
Ein genauer Blick ins Datenblatt vor dem Kauf eines WLAN Accesspoints ist also immer ratsam, da dieses sinnvolle Feature (ESSID Support oder Multiple WLAN) kaum Mehrkosten verursacht, im Betrieb aber erhebliche Vorteile bietet !


Das Tutorial verwendet deshalb hier stellvertretend 2 Beispiele:
a.) Mit einen Cisco Accesspoint für die gehobenen Ansprüche oder gebraucht bei eBay.
b.) Mit einem kleinen und preiswerten .11n fähigen Consumer AP Edimax_EW7416 (andere ESSID fähige APs funktionieren ebenso)

Die Schritte zur VLAN Einrichtung sind die gleichen wie oben bereits beschrieben:

• Monowall/Pfsense mit VLANs einrichten, korrekte VLAN IDs vergeben und ggf. DHCP auf den VLAN Interfaces aktivieren. VLAN Port entweder direkt auf den AP stecken oder wenn schone eine VLAN Infrastruktur vorhanden auf den VLAN Switch verbinden wie oben beschriben und nur die APs in die zu ihnen gehörenden VLANs stecken.
• Für das Gast WLAN die Captive Portal Funktion aktivieren und anpassen wie HIER beschrieben. Ggf. Filterreglen setzen um den Gästen nicht alles zu erlauben (P2P filtern etc.)
• Ggf. eine sichere Authentifizierung fürs Firmen WLAN aufsetzen wie HIER beschrieben. Die zentrale Radius Authentifizierung lässt sich auch für das Captive Portal und die Gäste nutzen wer es möchte.

Damit wären schon alle Installationsarbeiten abgeschlossen.
Schematisch sähe so ein Netzwerk so aus:

bzw. analog bei vorhandener VLAN Switch Infrastruktur


Beispiel WLAN Accesspoint Konfiguration:
Für den oben vorgestellten Accesspoint/Router Cisco RV110W ist die Konfiguration einfach und mit ein paar Mausklicks erledigt indem man die ESSIDs definiert und sie den eingerichteten VLAN IDs zuordnet.
Der Cisco beitet zudem noch die Option den Zugriff auf das WLAN Gastnetz zeitlich zu limitieren. (Gilt für alle SSIDs)

Ebenso die identische Konfiguration mit dem preiswerten Edimax AP über sein WebGUI. Man definiert auch hier einfach die ESSIDs und die dazugehörigen VLAN Nummern (Tags):


Im Security Setup wird dann einfach für jede SSID noch die Verschlüsselung gesetzt. Das Gastnetz mit dem Captive Portal bleibt dabei unverschhlüsselt und offen, da die Authentifizierung ja über das Hotspot Portal auf der angeschlossenen Monowall oder pfSense gemacht wird.

Eine passende Plug and Play Konfig für den Cisco High End Accesspoint der Aironet Serie sähe so aus:


Wichtig ist hier noch anzumerken das der Anschlussport am VLAN Switch für diesen WLAN Accesspoint immer auf tagged (bzw. Trunk beim Cisco) für alle VLANs gesetzt werden muss.
Klar...denn der AP ordnet ja, wie oben bereits bemerkt, die WLAN ESSIDs (WLAN Name) den entsprechenden VLAN Tags (VLAN ID) zu !
Einzige Ausnahme ist hier immer das default VLAN-1 das immer untagged am Port anliegen muss !!
Das ist insofern wichtig als das die Mangement IP Adresse des WLAN Accesspoints immer in diesem default VLAN-1 liegt die man erreichen möchte.
Sinnvoll ist dann immer ein Gastnetz NICHT in dieses default VLAN / WLAN 1 zu legen, sondern immer eine separate ESSID bzw. VLAN dafür zu verwenden, um Gästen schon hardwareseitig den Zugang zu solchen Management IPs zu versperren !

Damit hat man mit wenig Aufwand eine einfache, preiswerte und zudem sichere WLAN Installation umgesetzt, die sehr preiswert mehrere getrennte WLANs auf einem gemeinsamen Accesspoint betreibt um Besuchern ein einfaches Login zu ermöglichen und sich selbst rechtlich abzusichern (Logging) !
In Verbindung mit einer kostenfreien 802.1x_Benutzer_Authentifizierung im WLAN sind damit sogar hochsichere Firmen (...und auch Privat) WLANs in Verbindung mit einem einfachen Besucherzugang umsetzbar und das alles ohne große Mehrkosten.
Gleichzeitig trennt diese Lösung auf gemeinsam genutzter Switch- und AP Hardware absolut zugriffssicher das Gästenetz vom Firmennetz und Firmen WLAN ohne einen teuren Hardware- und Administrations Aufwand !

Dieses klassische Design ist mit der preiswerten M0nowall/pfSense_Firewall und auch Billig Accesspoints wie dem o.a. Edimax u.a. problemlos auch mit sehr kleinem Budget umzusetzen und bietet damit einen erheblichen Mehrwert an Sicherheit mit gleichzeitigem Benutzerkomfort !



(Letzte Aktualisierung 09/2011)